xml - 第 20 | CN-SEC 中文网

安全博客

NCTF2019-官方writeup

NCTF2019-官方writeup Table of Contents NCTF2019-官方writeup WEB Fake XML cookbook[52pt 184solvers...

08月21日1,118 views评论

阅读全文

一些常见的XXE payload整理

最近遇到一些没有见过的xxe利用方式，就和之前的内容一起整理了一下。# 常见利用# 有回显任意读取文件<?xml version="1.0" encoding="utf-8"?> <...

08月16日安全文章117 views评论

阅读全文

代码审计

Java XMLDecode反序列化

Java XMLDecode反序列化前言正常遇到的有关于xml攻击思路定格在dtd的利用上，有关语言类的xml攻击却很少见，本文探讨xml反序列化攻击在java上的应用。JAVA XML序列化举例ja...

07月29日202 views评论

阅读全文

安全文章

实战挖掘文件导入处的XXE漏洞

一、XXE简述XXE（XML External Entity Injection）全称是XML外部实体注入，当服务端允许引用外部实体时，通过构造恶意payload就可能造成任意文件读取、内网端口探测甚...

07月25日327 views评论

阅读全文

安全文章

继coremail漏洞之我见(碎碎念)

前段时间朋友发了coremail的漏洞，大概看了下，然后对比了下源码。大概理解了一下原理。事实上朋友发的...

07月25日256 views评论

阅读全文

安全文章

XXE漏洞：易被忽视但危害巨大！

讲师简介昵称：小天之天，补天审核工程师。专注coding、渗透测试和Java Web安全研究。课程介绍在本门课程中小天讲师首先介绍了XML基础，包括XXE漏洞原理、XML文档与DTD文档、内外部DTD...

06月08日177 views评论

阅读全文

XXE

XXE英文全称XML External Entity Injection，中文为XML外部实体注入，攻击利用的焦距点是XML的DTD实体，可以利用其内部声明或外部引用来构造攻击，从而实现读取文件、执行...

06月02日安全百科93 views已关闭评论

阅读全文

安全文章

Nacos 认证绕过

Nacos 认证绕过 FOFA：title=nacos一、漏洞概述一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。二、漏洞复现2.1添加用户POST /nacos/v1/au...

05月12日316 views评论

阅读全文

SecIN安全技术社区

Java代码审计之XXE

关于XEE 漏洞原理 Java中XML内容的解析主要依赖于其丰富的库。XML 的解析过程中若允许加载外部实体，若不添加安全的XML解析配置，则XML文档将包含来自外部 URI ...

05月06日164 views评论

阅读全文

SecIN安全技术社区

Java代码审计之垂直越权

垂直越权的业务场景主要是低权限的用户可以访问高权限用户的功能，或者是用户在没有通过认证授权的情况下能够直接访问需要通过认证才能调用的接口或者文本信息。审计思路 &...

04月25日284 views评论

阅读全文

安全文章

漏洞复现 CVE-2018-1259 Spring XXE

01—漏洞简介XMLBeans 提供了底层XML数据的对象视图，同时还能访问原始的XML信息集合。Spring Data Commons 1.13至1.13.11以及2.0至2.0.6的版本在与XML...

04月24日220 views评论

阅读全文

安全工具

【工具分享 | 附下载】Apache Solr漏洞检测利用工具

solr是一个高性能，采用Java5开发，基于Lucene的全文搜索服务器。Solr是一个独立的企业级搜索应用服务器，很多企业运用solr开源服务。原理大致是文档通过Http利用XML加到一个搜索集合...

04月24日492 views评论

阅读全文

NCTF2019-官方writeup

一些常见的XXE payload整理

Java XMLDecode反序列化

实战挖掘文件导入处的XXE漏洞

继coremail漏洞之我见(碎碎念)

XXE漏洞：易被忽视但危害巨大！

XXE

Nacos 认证绕过

Java代码审计之XXE

Java代码审计之垂直越权

漏洞复现 CVE-2018-1259 Spring XXE

【工具分享 | 附下载】Apache Solr漏洞检测利用工具

在线咨询

微信